Správa zásad informačních bariér

  • Článek
  • 10 min ke čtení

Po definování zásad informačních bariér (IB) možná budete muset v rámci řešení potíží nebo pravidelné údržby provádět změny těchto zásad nebo uživatelských segmentů.

Tip

Pokud nejste zákazníkem E5, využijte 90denní zkušební verzi řešení Microsoft Purview a zjistěte, jak můžou další funkce purview pomoci vaší organizaci spravovat požadavky na zabezpečení dat a dodržování předpisů. Začněte hned v centru zkušebních verzí Portál dodržování předpisů Microsoft Purview. Přečtěte si podrobnosti o podmínkách registrace a zkušebních verzích.

V tomto článku

Akce Popis
Úprava atributů uživatelského účtu Vyplňte atributy v Azure Active Directory, které je možné použít k definování segmentů.
Upravte atributy uživatelského účtu, pokud uživatelé nejsou zahrnuti v segmentech, ve kterých by měli být, abyste mohli změnit segmenty, ve kterých se uživatelé nacházejí, nebo definovat segmenty pomocí různých atributů.
Úprava segmentu Pokud chcete změnit způsob definování segmentu, upravte segmenty.
Mohli jste například původně definovat segmenty pomocí oddělení a teď chcete použít jiný atribut, například MemberOf.
Úprava zásady Pokud chcete změnit způsob fungování zásad, upravte zásady informačních bariér.
Například místo blokování komunikace mezi dvěma segmenty se můžete rozhodnout, že chcete povolit komunikaci pouze mezi určitými segmenty.
Nastavení zásady na neaktivní stav Nastavte zásadu na neaktivní stav, pokud chcete provádět změny zásad nebo když nechcete, aby zásady byly účinné.
Odebrání zásady Pokud už nepotřebujete používat konkrétní zásady, odeberte zásady informačních bariér.
Odebrání segmentu Pokud už určitý segment nepotřebujete, odeberte segment informačních bariér.
Odebrání zásady a segmentu Odeberte současně zásady informačních bariér a segment.
Zastavení aplikace zásad Tuto akci proveďte, pokud chcete zastavit proces použití zásad informačních bariér.
Zastavení aplikace zásad není okamžité a neruší se tím zpět zásady, které už jsou pro uživatele použité.
Povolení nebo zakázání zjistitelnosti uživatelů Povolit nebo zakázat, pokud se uživatelé zobrazují ve výběru osob.
Definování zásad pro informační bariéry Definujte zásady informačních bariér, pokud tyto zásady ještě nemáte a musíte omezit nebo omezit komunikaci mezi konkrétními skupinami uživatelů.
Řešení potíží s informačními bariérami Pokud narazíte na neočekávané problémy s informačními bariérami, přečtěte si tento článek.

Důležité

Pokud chcete provádět úlohy popsané v tomto článku, musíte mít přiřazenou odpovídající roli, například jednu z následujících rolí:
– Microsoft 365 Enterprise globální správce
– Globální správce
– Správce dodržování předpisů
- IB Compliance Management (toto je nová role!)

Další informace o požadavcích na informační bariéry najdete v tématu Požadavky (pro zásady informačních bariér).

Nezapomeňte se připojit k PowerShellu dodržování předpisů zabezpečení&.

Úprava atributů uživatelského účtu

Tento postup slouží k úpravě atributů, které se používají k segmentování uživatelů. Pokud například používáte atribut Oddělení a jeden nebo více uživatelských účtů aktuálně nemá uvedené žádné hodnoty pro Oddělení, musíte tyto uživatelské účty upravit tak, aby obsahovaly informace o oddělení. Atributy uživatelského účtu se používají k definování segmentů, aby bylo možné přiřadit zásady informačních bariér.

  1. Pokud chcete zobrazit podrobnosti pro konkrétní uživatelský účet, například hodnoty atributů a přiřazené segmenty, použijte rutinu Get-InformationBarrierRecipientStatus s parametry identity.

    Syntaxe Příklad
    Get-InformationBarrierRecipientStatus -Identity <value> -Identity2 <value>
    Můžete použít libovolnou hodnotu, která jednoznačně identifikuje každého uživatele, například jméno, alias, rozlišující jméno, kanonický název domény, e-mailovou adresu nebo identifikátor GUID.
    (Můžete také použít tuto rutinu pro jednoho uživatele: Get-InformationBarrierRecipientStatus -Identity <value>)    		 Get-InformationBarrierRecipientStatus -Identity meganb -Identity2 alexw
    V tomto příkladu odkazujeme na dva uživatelské účty v Office 365: meganb pro Megan a alexw pro Alex.

  2. Určete, který atribut chcete upravit pro své profily uživatelských účtů. Další informace najdete v tématu Atributy zásad informačních bariér.

  3. Upravte jeden nebo více uživatelských účtů tak, aby zahrnovaly hodnoty atributu, který jste vybrali v předchozím kroku. K provedení této akce použijte jeden z následujících postupů:

Úprava segmentu

Pomocí tohoto postupu upravte definici uživatelského segmentu. Můžete například změnit název segmentu nebo filtr, který se používá k určení toho, kdo je v segmentu zahrnutý.

  1. Pokud chcete zobrazit všechny existující segmenty, použijte rutinu Get-OrganizationSegment .

    Syntaxe: Get-OrganizationSegment

    Zobrazí se seznam segmentů a podrobnosti pro každý z nich, například typ segmentu, jeho hodnota UserGroupFilter, kdo ho vytvořil nebo naposledy upravil, IDENTIFIKÁTOR GUID atd.

    Tip

    Vytiskněte nebo uložte seznam segmentů pro pozdější použití. Pokud například chcete upravit segment, budete muset znát jeho název nebo identifikovat hodnotu (používá se s parametrem Identity).

  2. Pokud chcete segment upravit, použijte rutinu Set-OrganizationSegment s parametrem Identity a relevantními podrobnostmi.

    Syntaxe Příklad
    Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'" Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'HRDept'"
    V tomto příkladu jsme aktualizovali název oddělení na HRDept pro segment s identifikátorem GUID c96e0837-c232-4a8a-841e-ef45787d8fcd.

  3. Po dokončení úprav segmentů pro vaši organizaci můžete definovat nebo upravit zásady informačních bariér.

Úprava zásady

  1. Pokud chcete zobrazit seznam aktuálních zásad informačních bariér, použijte rutinu Get-InformationBarrierPolicy .

    Syntaxe: Get-InformationBarrierPolicy

    V seznamu výsledků určete zásadu, kterou chcete změnit. Poznamenejte si identifikátor GUID a název zásady.

  2. Použijte rutinu Set-InformationBarrierPolicy s parametrem Identity a určete změny, které chcete provést.

    Příklad: Předpokládejme, že byla definována zásada, která blokuje komunikaci segmentu Výzkum se segmenty Prodej a Marketing . Zásady byly definovány pomocí této rutiny: New-InformationBarrierPolicy -Name "Research-SalesMarketing" -AssignedSegment "Research" -SegmentsBlocked "Sales","Marketing"

    Předpokládejme, že ho chceme změnit tak, aby uživatelé v segmentu Zdrojů informací mohli komunikovat jenom s uživateli v segmentu lidských zdrojů . K provedení této změny použijeme tuto rutinu: Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -SegmentsAllowed "HR"

    V tomto příkladu jsme změnili SegmentsBlocked na SegmentsAllowed a zadali jsme segment HR .

  3. Po dokončení úprav zásad nezapomeňte použít provedené změny. (Viz Použití zásad informačních bariér.)

Nastavení zásady na neaktivní stav

  1. Pokud chcete zobrazit seznam aktuálních zásad informačních bariér, použijte rutinu Get-InformationBarrierPolicy .

    Syntaxe: Get-InformationBarrierPolicy

    V seznamu výsledků určete zásadu, kterou chcete změnit (nebo odebrat). Poznamenejte si identifikátor GUID a název zásady.

  2. Pokud chcete nastavit stav zásady na neaktivní, použijte rutinu Set-InformationBarrierPolicy s parametrem Identity a parametrem State nastaveným na Hodnotu Inactive.

    Syntaxe Příklad
    Set-InformationBarrierPolicy -Identity GUID -State Inactive Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c9377247 -State Inactive
    V tomto příkladu je zásada informačních bariér, která má IDENTIFIKÁTOR GUID 43c37853-ea10-4b90-a23d-ab8c9377247 , nastavená na neaktivní stav.

  3. Pokud chcete použít změny, použijte rutinu Start-InformationBarrierPoliciesApplication .

    Syntaxe: Start-InformationBarrierPoliciesApplication

    Změny se pro vaši organizaci použijí po jednotlivých uživatelech. Pokud je vaše organizace velká, může dokončení tohoto procesu trvat 24 hodin (nebo i déle). Obecně platí, že zpracování 5 000 uživatelských účtů trvá přibližně hodinu.

  4. V tomto okamžiku je jedna nebo více zásad informačních bariér nastaveno na neaktivní stav. Tady můžete provést některou z následujících akcí:

Odebrání zásady

  1. Pokud chcete zobrazit seznam aktuálních zásad informačních bariér, použijte rutinu Get-InformationBarrierPolicy .

    Syntaxe: Get-InformationBarrierPolicy

    V seznamu výsledků určete zásadu, kterou chcete odebrat. Poznamenejte si identifikátor GUID a název zásady.

  2. Ujistěte se, že je zásada nastavená na neaktivní stav. Pokud chcete nastavit stav zásady na neaktivní, použijte rutinu Set-InformationBarrierPolicy s parametrem Identity a parametrem State nastaveným na Hodnotu Neaktivní.

    Syntaxe Příklad
    Set-InformationBarrierPolicy -Identity GUID -State Inactive Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c9377247 -State Inactive
    V tomto příkladu nastavíme zásadu informačních bariér s identifikátorem GUID 43c37853-ea10-4b90-a23d-ab8c9377247 na neaktivní stav.

  3. Pokud chcete použít změny zásad, použijte rutinu Start-InformationBarrierPoliciesApplication .

    Syntaxe: Start-InformationBarrierPoliciesApplication

    Změny se pro vaši organizaci použijí po jednotlivých uživatelech. Pokud je vaše organizace velká, může dokončení tohoto procesu trvat 24 hodin (nebo i déle). Obecně platí, že zpracování 5 000 uživatelských účtů trvá přibližně hodinu.

  4. Použijte rutinu Remove-InformationBarrierPolicy s parametrem Identity.

    Syntaxe Příklad
    Remove-InformationBarrierPolicy -Identity GUID Remove-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471
    V tomto příkladu odebíráme zásadu s identifikátorem GUID 43c37853-ea10-4b90-a23d-ab8c93772471.

    Po zobrazení výzvy potvrďte změnu.

Odebrání segmentu

  1. Pokud chcete zobrazit všechny existující segmenty, použijte rutinu Get-OrganizationSegment .

    Syntaxe: Get-OrganizationSegment

    Zobrazí se seznam segmentů a podrobnosti pro každý z nich, například typ segmentu, jeho hodnota UserGroupFilter, kdo ho vytvořil nebo naposledy upravil, IDENTIFIKÁTOR GUID atd.

    Tip

    Vytiskněte nebo uložte seznam segmentů pro pozdější použití. Pokud například chcete upravit segment, budete muset znát jeho název nebo identifikovat hodnotu (používá se s parametrem Identity).

  2. Identifikujte segment, který se má odebrat, a ujistěte se, že se odebrala zásada IB přidružená k danému segmentu. Podrobnosti najdete v tématu Odebrání zásady .

  3. Upravte segment, který bude odebrán, a odeberte tak vztah uživatelů k danému segmentu. Tato akce aktualizuje definici segmentu a odebere ze segmentu všechny uživatele. Před odebráním uživatele oddělíte přidružení uživatelů k segmentu pomocí parametru UserGroupFilter.

    Pokud chcete segment upravit, použijte rutinu Set-OrganizationSegment s parametrem Identity a relevantními podrobnostmi.

    Syntaxe Příklad
    Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'" Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'FakeDept'"
    V tomto příkladu jsme pro segment, který má identifikátor GUID c96e0837-c232-4a8a-841e-ef45787d8fcd, definovali název oddělení jako FakeDept , aby se odebrali uživatelé ze segmentu. V tomto příkladu se používá atribut Oddělení , ale podle potřeby můžete použít jiné atributy. Tento příklad používá Funkci FakeDept , protože neexistuje a je jisté, že neobsahuje žádné uživatele.

  4. Pokud chcete použít změny, použijte rutinu Start-InformationBarrierPoliciesApplication .

    Syntaxe: Start-InformationBarrierPoliciesApplication -CleanupGroupSegmentLink

    Poznámka

    Atribut CleanupGroupSegmentLink odebere přidružení skupin se segmentem bez přidružení uživatelů.

    Změny se pro vaši organizaci použijí po jednotlivých uživatelech. Pokud je vaše organizace velká, může dokončení tohoto procesu trvat 24 hodin (nebo i déle). Obecně platí, že zpracování 5 000 uživatelských účtů trvá přibližně hodinu.

  5. Pokud chcete segment odebrat, použijte rutinu Remove-OrganizationSegment s parametrem Identity a relevantními podrobnostmi.

    Syntaxe Příklad
    Remove-OrganizationSegment -Identity GUID Remove-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd
    V tomto příkladu byl odebrán segment, který má identifikátor GUID c96e0837-c232-4a8a-841e-ef45787d8fcd.

Odebrání zásady a segmentu

  1. Pokud chcete zobrazit seznam aktuálních zásad informačních bariér, použijte rutinu Get-InformationBarrierPolicy .

    Syntaxe: Get-InformationBarrierPolicy

    V seznamu výsledků určete zásadu, kterou chcete odebrat. Poznamenejte si identifikátor GUID a název zásady.

  2. Pokud chcete zobrazit všechny existující segmenty, použijte rutinu Get-OrganizationSegment .

    Syntaxe: Get-OrganizationSegment

    Zobrazí se seznam segmentů a podrobností o každém z nich, například typ segmentu, jeho hodnota parametru UserGroupFilter , kdo ho vytvořil nebo naposledy upravil, IDENTIFIKÁTOR GUID atd.

    Tip

    Vytiskněte nebo uložte seznam segmentů pro pozdější použití. Pokud například chcete upravit segment, budete muset znát jeho název nebo identifikovat hodnotu (používá se s parametrem Identity).

  3. Pokud chcete nastavit stav zásad, které se mají odebrat, na neaktivní, použijte rutinu Set-InformationBarrierPolicy s parametrem Identity a parametrem State nastaveným na Hodnotu Inactive.

    Syntaxe Příklad
    Set-InformationBarrierPolicy -Identity GUID -State Inactive Set-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471 -State Inactive
    V tomto příkladu nastavíme zásadu informačních bariér, která má identifikátor GUID 43c37853-ea10-4b90-a23d-ab8c93772471, na neaktivní stav.

  4. Upravte segment, který bude odebrán, a odeberte tak vztah uživatelů k danému segmentu. Tato akce aktualizuje definici segmentu a odebere ze segmentu všechny uživatele. Před odebráním uživatele oddělíte přidružení uživatelů k segmentu pomocí parametru UserGroupFilter .

    Pokud chcete segment upravit, použijte rutinu Set-OrganizationSegment s parametrem Identity a relevantními podrobnostmi.

    Syntaxe Příklad
    Set-OrganizationSegment -Identity GUID -UserGroupFilter "attribute -eq 'attributevalue'" Set-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd -UserGroupFilter "Department -eq 'FakeDept'"
    V tomto příkladu jsme pro segment, který má identifikátor GUID c96e0837-c232-4a8a-841e-ef45787d8fcd, aktualizovali název oddělení na FakeDept a odebrali tak uživatele ze segmentu. V tomto příkladu se používá atribut Oddělení , ale podle potřeby můžete použít jiné atributy. V příkladu se používá Funkce FakeDept , protože neexistuje a je jisté, že neobsahuje žádné uživatele.

  5. Pokud chcete použít změny, použijte rutinu Start-InformationBarrierPoliciesApplication .

    Syntaxe: Start-InformationBarrierPoliciesApplication -CleanupGroupSegmentLink

    Poznámka

    Atribut CleanupGroupSegmentLink odebere přidružení skupin se segmentem bez přidružení uživatelů.

    Změny se pro vaši organizaci použijí po jednotlivých uživatelech. Pokud je vaše organizace velká, může dokončení tohoto procesu trvat 24 hodin (nebo i déle). Obecně platí, že zpracování 5 000 uživatelských účtů trvá přibližně hodinu.

  6. Použijte rutinu Remove-InformationBarrierPolicy s parametrem Identity .

    Syntaxe Příklad
    Remove-InformationBarrierPolicy -Identity GUID Remove-InformationBarrierPolicy -Identity 43c37853-ea10-4b90-a23d-ab8c93772471
    V tomto příkladu se odebere zásada s identifikátorem GUID 43c37853-ea10-4b90-a23d-ab8c93772471 .

    Po zobrazení výzvy potvrďte změnu.

  7. Pokud chcete segment odebrat, použijte rutinu Remove-OrganizationSegment s parametrem Identity a relevantními podrobnostmi.

    Syntaxe Příklad
    Remove-OrganizationSegment -Identity GUID Remove-OrganizationSegment -Identity c96e0837-c232-4a8a-841e-ef45787d8fcd
    V tomto příkladu byl odebrán segment s identifikátorem GUID c96e0837-c232-4a8a-841e-ef45787d8fcd.

Zastavení aplikace zásad

Pokud chcete, aby se tyto zásady přestaly používat, použijte po zahájení používání zásad informačních bariér následující postup. Zahájení procesu bude trvat přibližně 30 až 35 minut.

  1. Pokud chcete zobrazit stav nejnovější aplikace zásad informačních bariér, použijte rutinu Get-InformationBarrierPoliciesApplicationStatus .

    Syntaxe: Get-InformationBarrierPoliciesApplicationStatus

    Poznamenejte si identifikátor GUID aplikace.

  2. Použijte rutinu Stop-InformationBarrierPoliciesApplication s parametrem Identity.

    Syntaxe Příklad
    Stop-InformationBarrierPoliciesApplication -Identity GUID Stop-InformationBarrierPoliciesApplication -Identity 46237888-12ca-42e3-a541-3fcb7b5231d1

    V tomto příkladu zastavujeme použití zásad informačních bariér.

Povolení nebo zakázání zjistitelnosti uživatelů

Důležité

Podpora pro povolení nebo zakázání omezení vyhledávání je dostupná jenom v případě, že vaše organizace není ve starším režimu. Organizace ve starším režimu nemůžou povolit nebo zakázat omezení vyhledávání. Povolení nebo zakázání omezení vyhledávání vyžaduje další akce ke změně režimu informačních bariér ve vaší organizaci. Další informace najdete v tématu Použití podpory více segmentů v informačních bariérách ).

Organizace ve starším režimu budou mít v budoucnu nárok na upgrade na nejnovější verzi informačních bariér. Další informace najdete v roadmapě informačních překážek.

Pokud chcete povolit omezení vyhledávání při výběru osob pomocí PowerShellu, proveďte následující kroky:

  1. Pomocí rutiny Set-PolicyConfig povolte omezení výběru osob:
Set-PolicyConfig -InformationBarrierPeopleSearchRestriction 'Enabled'

Pokud chcete zakázat omezení vyhledávání při výběru osob pomocí PowerShellu, proveďte následující kroky:

  1. Pomocí rutiny Set-PolicyConfig zakažte omezení výběru osob:
Set-PolicyConfig -InformationBarrierPeopleSearchRestriction 'Disabled'

Zdroje